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Procede de division entiere 
secu&ise contke les attaques a canaux caches 

L' invention concerne un procede de division entiere 
securise centre les attaques de type, a canal cache-. 
L 1 invention est notamment interessante pour realiser des 
operations de division dans un procede cryptographique 
plus general, par exemple un procede cryptographique a 
cle secrete ou publique. Un tel procede cryptographique 
peut par exemple etre mis en ceuvre dans des dispositifs 
electroniques tels que des cartes' a puce. 

La securite des precedes cryptographique s resident 
dans leur. capacite a maintenir cachges les donnees 
confident ielles ou des donnees- derivees des. donnees 
conf identielles qu'ils manipulent . 

Un- utilisateur malveillant peut event iiellement 
engager des attaques, visant a decouvrir notamment ' des 
donnees conf identielles contenues et manipulees dans des 
traitements effectues par le dispositif de calcul 
executant un procede cryptographique . - 

Parmi les attaques les plus connues, on peut citer 
les attaques & canaux caches, simples ou dif f grentiell'es . 
On entend par attaque a canal cache une attaque basee sur 
une grandeur physique mesurabl.e de I'exterieur du 
dispositif, et dont 1" analyse directe (attaque simple) ou 
1 ! analyse selon une methode statistique (attaque 
differentielle) permet de decouvrir des donnees contenues 
et . manipulees dans des traitements realises dans le 
dispositif. Ces attaques onf notamment ete devoilees par 
Paul Kocher (Advances in • Crypt ology - CRYPTO 1 99, vol. 
1666 of Lecture Notes in Computer Science, pp. 388-397. 
Springer -Ver lag, 1999) . 

Parmi les grandeurs physiques qui peuvent etre 
exploitees a ces fins, on peut citer' le* temps 
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d 1 execution, la consoramation en courant, le champ 
electromagn£tique rayonne par la partie du composant 
utilis£e pour ex^cuter le calcul, etc. Ces attaques sont 
bashes sur le fait que, au cours de 1» execution d'un 
5 proced<§, . la manipulation d'un bit, c'est & dire son 
traitement par une instruction particuliere, laisse une 
empreinte particuliere sur la grandeur physique 
consid£ree, selon la valeur de ce bit et / ou selon 
1 ■ instruction . 



l»es procedes cryptographiques utilisant comme 
operation de base une operation d' exponentiation 
modulaire de type Y = X D , X, Y et D £tant des nombres 
entiers ont et6 tr£s largement Studies ces dernieres 
15 ann£es. A titre d' exemple, on peut citer le proced6 RSA, 
l f 6change de cle selon Dif f ie-Hellman ou le proced£ de 
signature DSA. Des progr£s signif icatif s ont £te realises 
pour prot£ger ces procedes contre les attaques & canaux 
caches • 

20 Par contre, aucune etude n'a <§te faite sur la 

securisation des procedes cryptographiques utilisant 
comme operation &l£mentaire une division entiere de type 
q = a div b et r «= a mod b, a et b 6tant deux operandes, 
q et r 6tant respectivement le quotient et le reste de la 

25 division entiere de a par b. a et / ou b sont des donn£es 
secretes, par exemple des Elements d'une cle du proced§. 
Par exemple, le proc£d<§ de Barrett (P. Barret, 
"Implementing the RSA public key encryption algorithm on 
a standard digital signal processing", vol 263 of Lecture 

30 Notes in Computer Science, pp. 311-323, Springer Verlag, 
1987), le proc6d£ de Quisquater (US patent 5,166,978, nov 
92) ou le procede RSA mis en ceuvre selon le th£or6me des 
restes chinois (JJ Quisquater and C Couvreur, "Fast 
decipherment algorithm for RSA public key cryptosystem", 

35 Electronics Letters , vol 18, pp. 905-907, Octobre 1982) 
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sont des procedes cryptographiques utilisant une division 
entiere comme operation elementaire. 

Un proced§ connu pour mettre en oeuvre une division 
entiere est le procede dit "papier crayon". Ce proced6 
5 reprend en pratique la m6thode utilisee lorsqu'une telle 
operation est realis£e & la main. Ce proced6 est rappele 
ci-dessous. 

Etant donne deux donn£es a = (a m _i, . ao) de m 
bits et b = (b n -i, . bo) de n bits, n inf&rieur ou egal 

10 ci m et b n -i J 0, le procede de division dit "papier 
crayon" calcule le quotient q = a div b et le reste 
r = a div b. Pour cela, le procede realise successivement 
plusieurs divisions d'un entier A de n+1 bits par 
I'entier b de n bits. On doit avoir en pratique 

15 0 [ A/b < 2, ce qui est le cas chaque fois que b n -i y 0. 

Le reste r est un nonibre de au plus n bits puisque 
r < b. Le quotient q est quant a lui un nombre de au plus 
m-n+1 bits puisque q = a div b [ a div (b n -i*2 n " 1 ) = a div 
2 n - x = (am-i, r a n ~i) car b jx b n -i*2 n - 1 et (a m -i, . .., a n _ 

20 i) est un nombre de m-n+1 bits. A la fin du procede de 
division, le quotient q est memorise dans les m-n+1 bits 
de poids les plus faibles du registre contenant 
initialement le nombre a. Le bit de poids le plus fort du 
reste r est memorise dans un registre de 1 bit utilise 

25 comme retenue (carry) pendant le calcul et les n-1 bits 
de poids les plus faibles du reste r sont memorises dans 
les n-1 bits de poids les plus forts du registre 
contenant initialement le nombre a. 

Comme on travaille en base 2, le bit de quotient de 

30 la division enti&re A div b a seulement deux valeurs 
possibles : 0 ou 1. Aussi une mani&re simple de r^aliser 
l 1 operation A div b consiste a soustraire b £ A puis a 
tester le r^sultat : si le r§sultat de A - b est positif, 
alors A div b = 1, si le r6sultat de A - b est 

35 strictement n^gatif, alors A div b = 0. 
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Le proced£ de division complet peut alors s'ecrire 
de la maniere suivante : 

Entree : a = (0, a m -i, . . ao) 
5 b = (b n _i, . . • , bo) 

Sortie : q = a div b et r = a mod b 

A = (0, a m -i, a m - n +l) 

Pour j « 1 & (m-n+1) , faire : 

a <- SHL m+ i(a, 1) ; c <- carry 
10 A <- SUB n (A, b) ; o <- a OU carry 

si (~ia = VRAI) alors A <- ADD n (A f b) 
sinon lsb(a) = 1 

Fin Pour 

Proc£d& 1 

15 

Dans ce procede, et dans tout ce qui suit, les 
notations suivantes sont utilisees. 

Le symbole ■»<-" et la notation y <- x la notation 
est utilise pour indiquer le chargement du contenu d'un 
20 registre contenant une donnee x dans un registre dont le 
contenu est appele y. 

A est un mot de n bits correspondant au contenu des 
n bits de poids les plus forts du registre contenant 
initialement la donnee a, A est bien sur modifie & chaque 
25 iteration . 

o indique si la soustraction a et§ effectu6e a tord 
ou pas (ie si le bit de quotient doit §tre 6gal £ 0 ou a 
1) . 

-ia est le complement a 1 (encore appele negation) 
30 de la variable c. VRAI est une constante, £gale k 1 dans 
un exemple. 

lsb(a) est le bit de poids le plus faible du nombre 
a, egalement appele bit le moins significatif de a. 

SHL m +i (a, 1) est une operation de d^calage a gauche 
35 de 1 bit dans le registre de m+1 bits contenant la donn6e 
a r le bit sortant du registre 6tant memorise dans la 
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variable carry et un bit 6gal a 0 etant entre en bit de 
poids le plus faible du registre contenant initialement 
la donn£e a, 

ADD n (A, b) est une operation d f addition des n bits 
5 du nombre b aux n bits du mot A. On notera que 
1' operation SHL n (a, 1) est equivalente a 1' operation 
ADD n (a, a). Bien sur l'addition ADD n (A, b) est r<§alisee en 
additionnant, dans un circuit d 1 addition de contenu de 
registre approprie, le contenu de deux registres 
10 contenant respectivement A et b. 

SUB n (A, b) est une operation de soustraction du 
nombre b au mot A. Bien sur la soustraction SUB n (A, b) est 
r^alisee en soustrayant, dans un circuit approprie,, le 
contenu d'un registre contenant la donnee b au contenu du 
15 registre contant le mot A. 

Enfin, par abus de langage mais surtout par souci 
de clarte, on utilisera le meme nom pour parler d'un 
registre et de son contenu. Ainsi le registre A est en 
fait le registre contenant la donnee A. 
20 En resum6, le proced6 1 realise les etapes 

suivantes : 

- si a <- SHLm+i (a, 1) gen^re une retenue (a = carry 
= 1) , cela signifie que a m = 1 (avant d^calage) et done 
que b doit etre soustrait a A, 

25 - si a m +i = 0 (avant decalage) et si A <- SUB n (A, b) 

genere une retenue (carry = 1), cela signifie que 
A — b |i 0 avant la soustraction et done b doit etre 
soustrait k A. 

- si a <- SHL m +i (a, 1) ne g6n6re pas de retenue et 
30 si A <- SUB n (A, b) ne g&n&re pas non plus de retenue 

(e'est-a-dire si, apres mise a jour de a, a est faux (ou 
-i0 est VRAI, alors cela signifie que A - b < 0 avant la 
soustraction et done que b n f aurait pas du £tre soustrait 
& A. Dans ce cas, le procede realise une operation 
35 d* addition A <- ADD n (A, b) pour restaurer la valeur de A. 
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Le procede 1 est sensible aux attaques a canal 
cache. En effet, on remarque sur le procede 1 que, a 
chaque it&ration, selon la valeur de g, c f est-&-dire 
selon la valeur du bit de quotient qui sera obtenu lors 
5 de l 1 iteration en cours, on effectue une addition 
ADD n (A, b) ou pas. ie nombre d f operations effectuees au 
cours d'une iteration varie done en fonction du bit de 
resultat obtenu lors de ladite iteration. Or, la 
consommation en courant au cours de chaque iteration et / 
10 ou la duree de chaque iteration varie en fonction du 
nombre d 1 operations effectuees. En mesurant et en 
etudiant par exemple la trace laissee par le composant 
lors de l 1 execution du procede, il est alors possible de 
determiner bit a bit la valeur des bits de resultat. 

15 

Un autre procede egalement connu pour realiser des 
division entiere est une variant e du procede "papier- 
crayon", dite "sans restauration" (Non -Restoring Binary 
Division Algorithm, notamment decrit dans "J.J.F. 
20 Cavanagh, Digital Computer Arithmetic, Mac Graw-Hill 
Company, 1984". 

Entree : a « (0, a m -i, a 0 ) 

b « (b n -i, . . . , bo) 
Sortie : q = a div b et r = a mod b 
25 <- 1 ; A - (0, a m -i, a m - n+ i) 

Pour j = 1 a (m-n+1), faire : 

a <- SHL m+ i (a, 1) ; a <- carry 
si (G f » VRAI) alors A <- SUB n (A, b) 

G <- G OU carry 

30 sinon A <- ADD n (A, b) 

g <- g ET carry 
si (a = VRAI) alors lsb(a) = 1 

G f <- G 
Fin Pour 

35 si (-iO = VRAI) alors A <- ADD n (A, b) 

Procede 2 
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Par rapport au precede 1, le procede utilise une 
nouvelle variable a' pour conserver la valeur de o 
obtenue A l f iteration pr6c£dente . Ici, selon la valeur de 
a, on effectue une addition ou une soustraction. Dit 
autrement, si au cours d f une iteration, b est soustrait a 
tord k A, alors la valeur de A est restaur^e au cours de 
l f iteration suivante, et non plus a la fin de 1' iteration 
en cours comme dans le cas du procede 1. 

Quelle que soit la valeur de a au cours d'une 
iteration, le procede realise le meme nombre d 1 operations 
au cours de chaque iteration. Cette precaution n'est 
cependant pas suffisante pour proteger le procede contre 
les attaques £ canal cache. En effet, & chaque iteration, 
on realise une operation de decalage a <- SHL m+ i (a f 1) 
puis, selon la valeur de a, une addition A <- ADD n (A, b) 
ou une soustraction A <- SUB n (A, b) . 

Or, la realisation d'une soustraction est plus 
longue et consomme plus d f energie que la realisation 
d f une operation d f addition. En effet, le plus souvent, 
les moyens de calcul utilises pour mettre en ceuvre le 
procede ne comprennent pas de circuit de soustraction. 
L' operation de soustraction est realisee en calculant 
d f abord le complement & 2 n de b, note b, puis en 
additionnant b a A, la retenue eventuelle de l 1 addition 
etant memorisee dans la variable carry. Ce mode de 
realisation d T une soustraction est justifie par le fait 
que, par definition de b, on a b + b = 2 n . On a done 
A - b = A + b - 2 n = A + b mod (2 n ) , mod (2 n ) etant une 
reduction modulo 2 n . Deux operations, une operation de 
complement k 2 n et une addition, sont done en pratique 
necessaires pour realiser une soustraction. 

Comme les procedes connus de division entiere ne 
sont pas proteges contre les attaques £ canal cache, tout 
procede cryptographique utilisant les procedes de 
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division entiere connu ne sont done pas plus proteges 
contre de telles attaques & canal cache. 

Par ailleurs, statistiquement, 50% des bits du 
quotient obtenu par un procede de division sont egaux a 
5 0, ce qui signifie que statistiquement , le procede 
compense une soustraction sur deux faite a tord. Le temps 
d' execution du procede 1 est done statistiquement 1,5 
fois plus long que le temps d' execution du proc6d6 2. 

10 Au vu des problemes des procedes cryptographiques 

actuels, un objet essentiel de 1' invention est un nouveau 
procede de realisation d'une division entiere, protege 
contre les attaques £ canal cache. 

Un objet suppiementaire de l 1 invention est un 

15 procede de realisation d'une division entiere dont le 
temps d f execution est tr£s faible. 

Un objet suppiementaire egalement de £■ invention 
est un proc^d6 de realisation d'une division entiere au 
cours duquel seul le registre contenant la donnee 

20 initiale a est modifie, remplace par le quotient et le 
resultat, tout autre registre de la memoire (et notamment 
le registre contenant initialement la donnee b) restant 
inchang6 a la fin de 1' execution du procede. 

Avec cet object! f principal et ces objectifs 

25 subsidiaires en vue, l f invention propose un procede 
cryptographique au cours duquel on realise une division 
entiere de type q = a div b et r = a mod b, avec a un 
nombre de m bits, b un nombre de n bits avec n inf6rieur 
ou 6gal k m et b n -i non nul, b n -i 6tant le bit de poids le 

30 plus fort de b, procede au cours duquel, & chaque 
iteration d'une boucle indicee par i variant entre 1 et 
m-n+1, on realise une division partielle d'un mot A de n 
bits du nombre a par le nombre b pour obtenir un bit du 
quotient q. 
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Selon 1' invention, les m§mes operations sont 
r^alisees a chaque iteration f quelque soit la valeur du 
bit de quotient obtenu. 

Ainsi, avec le procede selon l f invention, il" n'est 
plus possible de determiner les bits du r&sultat a partir 
de la trace laissee lors de 1" execution du procede de 
l f invention. 

Selon un premier mode de realisation du procede de 
I 1 invention, a chaque iteration, on realise une operation 
d' addition du nombre b au mot A et une sous traction du 
nombre b au mot A. 

Selon ce premier mode de realisation, le procede 
comprend de preference 1" ensemble des etapes suivantes : 
Entree : a = (0, a m -i, . .., ao) 

b = (bn-ir • . - , bo) 
Sortie : q = a div b et r = a mod b 
c» <- 1 ; A = (0, a m -i, a m - n +i) 
Pour j = 1 k (m-n+1), faire : 

a <- SHL m+ i(a, 1) ; o <- carry 
A <- (G f ) SUB n (A, b) + (— iO 1 ) ADD n (A, b) 
a <- (a ET a 1 ) / (a ET carry) / (a 1 ET carry) 
lsb(a) <- a 
a' <- a 
Fin Pour 

si (-ia = VRAI) alors A <- ADD n (A, b) 
Dans ce mode de realisation, la variable carry ci- 
dessus designe la retenue resultant de l f operation 
SUB n (A, b) lorsque G f vaut 1 et la retenue resultant de 
1» operation ADD n (A, b) lorsque o' vaut 0. 

Selon un deuxidme mode de realisation du procede 
selon l f invention, & chaque iteration, on realise une 
operation d f addition soit du nombre b soit d'un nombre b 
compiementaire du nombre b avec le mot A. 

De preference, au cours de chaque iteration, on 
realise egalement une mise & jour d'une premiere variable 
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(O f ) en fonction du bit du quotient produit, la dite 
premiere variable (a 1 ) indiquant si, lors de 1' iteration 
suivante, le nombre b ou le nombre b doit etre additionne 
an mot A. 

De preference encore, selon ce mode de realisation, 
le proced6 comprend 1' ensemble des etapes suivantes : 
Entree : a - (0, a m -i, . . . , a 0 ) 
b - (b n -i, . . . r bo) 
Sortie : q = a div b et r = a mod b 
A = (0, a m -i, a ra - n+ i) .; a' <- 1 ; b <- CPL2 n (b) 
Pour j = 1 k (m-n+1), faire : 

a <- SHL m+ i(a, 1) ; a <- carry 
daddr <- baddr + a 1 ( b a ddr - b a ddr) 
A <- ADD n (A, d) 

a <- (a ET a') / (a ET carry) / (a 1 ET carry) 
lsb(a) <- a 
a' <- a 
Fin Pour 

si (-iG = VRAI) alors A <- ADD n (A, b) 

Selon un troisidme mode de realisation du procede 
selon 1* invention, a chaque iteration, on realise une 
operation de complement a 2 n d f une donnee actualisee (b ou 
b) ou d'une donnee fictive (c ou c) puis une operation 
d' addition de la donnee actualisee avec le mot A. 

De preference, au cours de chaque iteration, on 
realise egalement a chaque iteration une mise a jour 
d f une deuxieme variable (8) en fonction du bit du quotient 
produit, la dite deuxieme variable (8) indiquant si, lors 
de 1' iteration suivante, l f operation de complement & 2n 
doit etre realisee sur la donnee actualisee ou sur la 
donnee fictive. 

De preference encore, au cours de chaque iteration, 
on realise egalement £ chaque iteration la mise A jour 
d f une troisieme variable (p) indiquant si la donnee 
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actualis<§e est egale au nonibre b ou au nombre 
compl^mentaire b. 

De pr£f£rence encore, selon ce mode de realisation, 
le procede comprend l'ensemble des etapes suivantes : 
Entree : a = (0, a m -i, ... , a 0 ) 

b = (b n -l, -~ f bo) 
Sortie : q = a div b and r « a mod b 
a' <- 1 ; p <- 1, y <- 1 ; a = (0, am-i, a tt -»+i) 
pour j = l a (m-n+1) faire 

a <- SHL m+ i(a, 1) ; a <- carry 

8 <- a' / (5 

daddr <- b a ddr + 8(c a ddr - b a ddr) 
d <- CPL2 n (d) 
A <- ADD n (A, b) 

a <- (a ET o') / (a et carry) / (a' ET carry) 

P < .a' ; Y <- y / 8; a' <- a 

lsb(a) = a 
fin pour 

si (-.(J = VRAI) alors b <- CPL2 n (b) 
si (— iY = VRAI) alors c <- CPL2 n (c) 
si (-ia = VRAI) alors A <- ADD n (A, b) 

L * invention concerne egalement un composant 
£lectronique comprenant des moyens de calcul programmes 
pour mettre en ceuvre un procede tel que d6crit ci-dessus, 
les moyens de calcul comprenant notamment une unit6 
centrale associee h une memoire comprenant plusieurs 
registres pour memoriser les donnees a et b. 

Enfin, 1* invention concerne egalement une carte a 
puce comprenant un circuit int6gre tel que deer it ci- 
dessus. 

1/ invention sera mieux comprise et d'autres 
caracteristiques et avantages apparaitront a la lecture 
de la description qui va suivre, d f exemples de 
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realisation de procedes de division entiere selon 
1 f invention . 

Dans un l er exemple de raise en oeuvre de 1' invention, 
5 on realise un precede s^curise contre les attaques a 
canal cache en supprimant les operations de test (de type 
si ... alors ... si non ...) du procede 2 et done les 
consequences de leur presence. 

Selon 1' invention, on remplace, dans le procede 2, 
10 les etapes si ... alors ... sinon par les trois etapes 
suivantes : 

A <- 0'SUB n (A, b) + (-.a 1 )ADD n (A, b) 

a <- (a ET a 1 ) / (a ET carry) / (a* ET carry) 

lsb (a) <- a 

15 On obtient ainsi le procede selon 1' invention 

suivant : 

Entree : a = (0, a m -i, a 0 ) 
b = (bn-ir . . . r bo) 
20 Sortie : q = a div b et r = a mod b 

A = (0, a m -i, a m - n +l) ; <* f <- 1 
Pour j = 1 a (m-n+1), faire : 

a <- SHL m+ i (a, 1) ; a <- carry 
A <— (a'JSUBntA, b) + (-»a , )ADD n (A, b) 
25 o <- (a ET a 1 ) / (a ET carry) / (a 1 ET carry) 

lsb (a) <- o 
a f <- a 
Fin Pour 

si (-.a = VRAI) alors A <- ADD n (A, b) 
30 Procede 3 

Le procede 3 est equivalent au procede 2 en ce sens 
qu'il produit le raeme resultat a partir des memes donnees 
a et b d' entree. En effet, dans le procede 2, lorsque 
35 a f = 1, on realise l f operation A <- SUB n (A, b) et lorsque 
o f = 0, on realise l f operation A <» ADD n (A, b) • II en est 
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de meme dans le procede 3 puisque a f = -i(-ia'). Par 
ailleurs, dans le procede 2, lorsque a» = 1 on realise 
l f operation a <- a OU carry, et lorsque o' = 0 on realise 
l f operation a < - a ET carry. Ceci peut s f ecrire sous la 
5 forme 

o <- (a') (a OU carry) + (-.a 1 ) (a ET carry), 
ce qui est logiquement Equivalent k 

a <- (a ET a 1 ) / (a ET carry) / (a' ET carry) 
Enfin, dans le procede 2, en rEalisant 1' operation 
10 a <- SHL m +i(a, i) , on fixe a 0 le bit de poids le plus 
faible de a (dit autrement lsb(a) = 0) puis, a la fin de 
1' iteration en cours, si a - 1, on realise 1' operation 
lsb(a) = 1, sinon, si o = 0, lsb(a) n'est pas modifie. On 
peut done aisement remplacer 1 T operation {si o = 1, 
15 lsb(a) = 1} par 1" operation lsb(a) = o, quelle que soit 
la valeur de a. 

Le proc6de 3 est non seulement equivalent au 
procede 2 mais il est egalement stir vis-a-vis des 
attaques a canal cache. En effet, le procede ne contient 
20 aucune operation de test de type si ... alors ... sinon, et 
les memes operations sont r£alisees & chaque iteration, 
quels que soient le bit de la donnee d 1 entree utilise et 
/ ou le bit de r£sultat obtenu au cours d'une iteration. 
II est done impossible, a partir de la trace laissee par 
25 le composant, de separer les differentes iterations et de 
determiner les bits de la donnee d 1 entree et / ou de la 
donnee de sortie. 

Dans un 2^® exemple de mise en oeuvre de 
30 1' invention, on modifie le procede 3 selon 1' invention en 
limitant de plus le temps d' execution du procede. 

Comme on l'a vu precedemment, pour realiser une 
operation de soustraction A <- SUB n (A, b) , on realise en 
pratique une operation b = CPL2 n (b) de complement £ 2 n du 
35 nombre b puis une operation d' addition de type 
A <- ADD n (A, b) . 
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Ce qui signifie, pour le procede 3, qu'& chaque 
iteration une operation de complement a 2 n est realisee, 
en plus d'une operation d 1 addition A <- ADD n (A, b) ou 
A <- ADD n (A, b) . 

Pour diminuer le temps d' execution, on limite le 
nombre d' operations de complement a 2 n b <- CPIi2 n (b), on 
utilise un espace memoire additionnel pour stocker au 
d6but du procede la valeur de b. II suffit alors 
d'ajouter b a A pour effectuer A <- SUB n (A, b) ou 
d'ajouter b a A pour effectuer A <-ADD n (A, b) . Cela 
permet £galement de realiser une seule operation 
d' addition par iteration, de sorte que la vitesse 
d' execution est encore augmentee. 

On utilise ici deux regis tres b et b pour memoriser 
respectivement les donnees b et b et ayant pour adresse 
baddr et b a ddr • On appelle d le registre dont le contenu 
est additionne au contenu du registre A au cours d'une 
iteration donnee et on appelle d a ddr son adresse. En 
pratique, k chaque iteration, le registre d est soit le 
registre contenant b soit le registre contenant b. Comme 
dans le procede 3, la variable a' est utilisee pour 
garder une trace de ce qui s f est passe au cours d'une 
iteration donnee et determiner si une addition ou une 
soustraction doit etre realisee a 1' iteration suivante. 
En regroupant le tout, on obtient finalement le procede 4 
suivant : 

Entree : a = (0, a m _i, a 0 ) 

b = (*> n -i, r *>o) 

Sortie : q = a div b et r = a mod b 

A = (0, a m -i, a m - n +l) / a' <- 1 ; b <- CPL2 n (b) 

Pour j = 1 k (m-n+1) , f aire : 

a <- SHL m +i (a, 1) ; a <- carry 

daddr <" baddr + O f ( b a ddr ~ b a ddr) 
A <- ADD n (A, d) 

o <- (a ET a') / (a ET carry) / (a' ET carry) 
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lsb(a) <- G 
a' <- a 
Fin Pour 

si (-10 = VRAI) alors A <- ADD n (A, b) 

Procede 4 

Dans un 3*"* exemple de mise en ceuvre de 
1' invention, on modifie le procede 4 selon 1' invention en 
limitant l'espace memoire utilise pour mettre en ceuvre le 
procede . 

Pour cela, la valeur b complementaire de b r£sultat 
de 1' operation CPL2 n (b) est memorisee & la place de la 
valeur initiale de b, dans le meme regis tre. L' operation 
de soustraction est ainsi r§alis6e en remplagant b par 
son complement b dans le meme regis tre puis en 
additionnant a A le contenu du dit registre. 

De plus, on evite le calcul de valeur s inutiles de 
b (c'est le cas lorsque deux iterations successives j et 
j+1 utilisent toutes deux la meme addition soit . A <- A+b 
soit A <- A + b) . Pour cela, on utilise un autre registre 
c dont le contenu, indifferent ou fictif, est remplace 
par son complement k 2 n lorsqu'il n f est pas necessaire de 
remplacer le contenu du registre contenant initialement b 
(c'est-^-dire lorsque deux iterations successives 
utilisent soit b soit b) . En pratique, le registre c est 
un registre quelconque de la memoire, de meme taille que 
le registre contenant b, mais different des registres 
contenant initialement a ou b. Le registre c peut etre 
utilise par ailleurs pour realiser d'autres operations. A 
la fin du procede de 1' invention, le registre c contient 
sa valeur initiale, c f est-&-dire celle qu'il avait avant 
execution du proced6. La valeur initiale du contenu du 
registre c est totalement indifferente car cette valeur 
n'est pas r6ellement utilisee dans le cadre du procede 
selon 1' invention. 
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On appelle d ac idr l'adresse du registre contenant la 
valeur qui sera remplac§e par son complement a 2 n lors de 
l 1 iteration en cours : d addr est soit b a ddr si le contenu 
du registre contenant initialement b doit £tre 
complements a 2 n , soit c a ddr sinon. On appelle d le 
contenu du registre dont l'adresse est d addr . 

On utilise egalement des variables (3 et y pour 
garder une trace de l'£tat de la valeur contenue dans les 
registres localises a l'adresse b ad dr et c addr . Cet <§stat 
est soit la valeur originale soit la valeur originale 
complements a 2 n . On choisit P = 1 (resp. y = 1) lorsque 
la valeur localisee a l'adresse b addr (resp. c addr ) est la 
valeur originale, et p = 0 (resp. y = 0) lorsque la valeur 
localisee a l'adresse b addr (resp. c addr )est le complement 
& 2 n de la valeur originale. La variable a' est utilisee 
pour garder une trace de la valeur de la variable a & 
l 1 iteration precedente. Comme prdcedemment, a 1 = 0 
signifie qu'une soustraction- (A <- SUB n (A, b) = 
ADD n (A, b) ) non necessaire a ete effectuee a l f iteration 
precedente et qu'une operation d 1 addition A <- ADD n (A, b) 
doit etre r£alisee pendant l f iteration en cours pour 
compenser. Inversement, a' = 1 signifie qu'aucune 
soustraction n'a ete effectuee a tord lors de 1' iteration 
precedente et qu'une soustraction doit etre effectuee 
lors de 1' iteration en cours. 

On obtient la table de verite suivante : 



valeurs precedentes 





G' 


p 


Y 1 


p 


Y 




0 


0 


0 I 


1 


0 


30 


0 


0 


1 1 


1 


1 




0 


1 


0 i 


1 


1 




0 


1 


1 1 


1 


0 




1 


0 


0 I 


0 


1 




1 


0 


1 1 


0 


0 


35 


1 


1 


0 I 


0 


0 




1 


1 


1 1 


0 


1 



valeurs actual i sees 
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On en d£duit : 
p <- -.a' 
Y <- y / a f / p 
En regroupant le tout on obtient finalement le 
proc£de 5 suivant : 

Entree : a = (0, a m -i, ... , a 0 ) 

b = (b n -i, b 0 ) 
Sortie : q = a div b and r = a mod b 
C <- 1 ; p <- 1, y <- 1 ; a = (0, a m -i, a m - n+1 ) 
pour j = l a (m-n+1) faire 

a <- SHL m+ i(a f 1) ; o <- carry 

8 <- o 1 / p 

<*addr <- b a ddr + 8(c a ddr " b a ddr) 
d <- CPL2 n (d) 
A <- ADD n (A, b) 

a <- (a ET a 1 ) / (a ET carry) / (a' ET carry) 

p < »o' ; y <- y / 8; a' <- a 

lsb (a) = a 
fin pour 

si (-iP = VRAI) alors b <- CPL2 n (b) 
si (iy = VRAI) alors c <- CPL2 n (c) 
si (ia = VRAI) alors A <- ADD n (A, b) 

Procede 5 

De maniere g<§nerale, l'avantage essentiel de 
l f invention par rapport aux autres proc<§d£s connus 
realisant la m§me operation est qu'il est sur vis k vis 
des attaques & canal cache, et notamment des attaques de 
type SPA. De plus, pour §tre mis en ceuvre, le proc£d6 
selon l f invention ne demande pas plus de ressources 
(notamment en terme de temps d' execution et d f espace 
m£moire) que les procedes connus de division entiere, non 
proteges. 
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REVENDICATIONS 



1. Proc£de cryptographique au cours duquel on 
realise une division entiere de type q = a div b et r = a 
mod b, avec q un quotient, a un nombre de m bits, b un 
nombre de n bits avec n inferieur ou egal h m et b n -i non 

5 mil, b n -i 6tant le bit de poids le plus fort de b, precede 
au cours duquel, a chaque iteration d f une boucle indicee 
par i variant entre 1 et m-n+1, on realise une division 
partielle d'un mot A de n bits du nombre a par le nombre 
b pour obtenir un bit du quotient q r 

10 le proc^de etant caracterise en ce que les m§mes 

operations sont realisees a chaque iteration, quelque 
soit la valeur du bit de quotient obtenu. 

2. Proced£ selon la revendication 1, au cours 
15 duquel, h chaque iteration, on realise une addition du 

nombre b au mot A et une soustraction du nombre b au mot 



3, Proced6 selon l'une des revendications 1 & 2, au 
20 cours duquel on realise l f ensemble des etapes suivantes : 
Entr6e : a = (0, a m -i, ao) 



A. 



b = (b n -i/ . . . , bo) 



Sortie : q = a div b et r = a mod b 



A = (0, a m -i, a m -n-fi) ; o f <- 1 



25 



Pour j = 1 £ (m-n+1) , f aire : 
a <- SHL m+ i (a, 1) ; a <- carry 
A <- (a')SUBn(A, b) + (— iO' ) ADD n (A, b) 
a o (a ET o 1 ) / (a ET carry) / (a' ET carry) 
lsb(a) <- a 
a' <- a 



30 



Fin Pour 



si (-ia = VRAI) alors A <- ADD n (A, b) 



WO 2004/046017 PCT/FR2003/050119 



19 



4. Procede selon la revendication 1, au cours 
duquel, a chaque iteration, on realise une operation 
d 1 addition soit du nombre b ou soit d f un nombre b 
complement aire du nombre b avec le mot A. 

5 

5. Proced6 selon la revendication 4, au cours 
duquel, & chaque iteration, on realise 6galement une mise 
a jour d'une premiere variable (a 1 ) indiquant si, lors de 
1' iteration suivante, le nombre b ou le nombre b doit 

10 §tre additionn6 avec le mot A selon le bit de quotient 
produit (lsb (a) ) . 

6. Procede selon la revendication 4 ou la 
revendication 5, au cours duquel on realise 1' ensemble 

15 des stapes suivantes : 

Entree : a = (0, a m -i, . ao) 

t> = (b n -X/ . . . r bo) 
Sortie : q = a div b et r = a mod b 
A = (0, a m -x, a m -. n +i) ; a* <- 1 ; b <- CPL2 n (b) 
20 Pour j = 1 a (m-n+1) , faire : 

a <- SHL m+ i(a, 1) ; a <- carry 

<*addr <- b a ddr + O* ( b a ddr - *>addr) 
A <- ADD n (A, d) 

o <- (o ET a') / (a ET carry) / (a 1 ET carry) 
25 lsb (a) <- G 

a' <- a 
Fin Pour 

si (-ia = VRAI) alors A <- ADD n (A, b) 

30 7. Procede selon la revendication 1, au cours 

duquel, & chaque iteration, on realise_une operation de 
complement & 2 n d f une donnee actualis£e (b ou b) ou d'une 
donn£e fictive (c ou c) puis une operation d' addition de 
la donnee actualis£e avec le mot A. 



35 
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8. Procede selon la revendication 7, au cours 
duquel on realise egalement a chaque iteration une 
operation de mise a jour d'une deuxidme variable (8) 
indiquant si, lors de 1' iteration suivante, 1* operation 

5 de complement a 2 n doit etre realisee sur la donnee 
actualisee ou sur la donnee fictive. 

9. Procede selon I'une des revendications 7 ou 8, 
dans lequel on realise Egalement & chaque iteration , une 

10 mise a jour d'une troisi^me variable (P) indiquant si la 
donnee actualisee est egale a la donn6e b ou a son 
complement a 2 n . 

10. Procede selon l'une des revendications 7 & 9, au 
cours duquel on realise 1 'ensemble des Stapes suivantes : 

Entree : a = (0, a m -i, ... , a 0 ) 

b = (bn-ir .«/ bo) 
Sortie : q = a div b and r = a mod b 
a' <- 1 ; |i <- 1, y <- 1 ; a = (0, a m -i, a m -„ +1 ) 
pour j = 1 & (m-n+1) faire 

a <- SHL m+1 (a, 1) ; o <- carry 
8 <- o' / p 

daddr <~ b a ddr + 8(c a ddr - baddr) 
d <- CPL2 n (d) 
A <- ADD n (A, b) 

a <- (a ET a f ) / (o ET carry) / (a' ET carry) 

P < ig* ; y <- y / 8; a' <- o 

lsb(a) = o 
fin pour 

si (-iG = VRAI) alors A <- ADD n (A, b) 

11. Procede selon la revendication 10, au cours 
duquel on realise, a la fin, les operations suivantes : 

si (-.p = VRAI) alors b <- CPL2 n (b) 
35 si (wy = VRAI) alors c <- CPL2 n (c) 



20 
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12. Composant electronique comprenant des moyens de 
calcul programmes pour mettre en oeuvre un proced6 selon 
l'une des revendications 1 & 11, les moyens de calcul 
comprenant notamment une unite centrale associ6e a une 

5 memoire comprenant plusieurs registres pour memoriser les 
donnees a et b. 

13. Carte ci puce comprenant un circuit integre selon 
la revendication 12 . 

10 



